보안 (22) 썸네일형 리스트형 SQLmap 을 이용한 SQL인젝션 위의 sqlmap 툴을 이용하여 sql인젝션을 시도해보자. sqlmap를 사용하기위해 처음세팅값을 해줘야한다. 세팅값에 맞는 정보를 알아야하는데 프록시 를 이용하여 얻어보자. 먼저 공격할 영역에 입력값을 입력한후에 프록시로 잡아보자. 프록시를 얻은 정보에서 필요한부분이 1번정보 와 2번 정보이다. 아래의 텍스트파일에서 위의명령어를 조합해서 완성된 명령문인데 먼저 sqlmap 는 시작하기위한 부분이고 -u 는 공격타겟부분이다. --cookie는 쿠키값을 그대로 사용하기위해 프록시에서 얻어온 정보를 그대로입력 --dbs 는 데이터베이스의 정보를 보여달라는 명령어이다. 위의 명령어를 통해 얻어온 데이터베이스 이름들. 이제 특정 데이터베이스의 테이블을 알아보자 -D.. [포렌식 도구] Shortcut 파일 ,WFA 흔히 보는 파일의 바로가기 이다. 실제파일의 경로 실제파일의 MAC 값 실제 파일의 Size MAC address를 이용하여 로컬에서 어디서 온것인지 확인가능하다 Recent(최근에사용된파일) 의 Shortcut의 파일 특성 -> Link File 의 수정 시간은 대상 파일의 최근 open한 시간이다. [포렌식] Prefetch 파일 분석 프로그램을 한번실행하면 라이브러리등을 불러오면서 시간이걸린다. 그후에 이 정보를 저장해두고 그후에 다음 실행할때는 빠른속도로 실행이된다. 이러한 정보를 Perfetch 에서 확인가능하다. 위의 경로로 가보자. 그러면 이렇게 perfetch 파일을 볼수있다. 어떤 사람이 나는 이러한 프로그램을 실행한적이 없다 했을때 이걸확인하여 진짜인지 확인가능. ASDCLI.EXE-C739B721.pf pf는 확장자 c739b721 은 exe의 경로해쉬값 정도라고 생각하면된다. exe가 실행될때 pf가있는지 확인하는데 같은 exe가 여러군대 있을수있으니 뒤의 시리얼값을 보고 판단한다. https://k4keye.tistory.com/45 [포렌식] Windows Artifact 분석 일반 .. [포렌식 도구] IECacheView(임시 인터넷 파일) 임시 인터넷 파일 (Cache , Temporary Internet File) - 방문한 사이트에 대한 임시 저장 파일로서 동일 웹 페이지 접속시 속도 향상을 위하여 다시 웹 페이지를 인터넷에서 가져오지 않고 임시 저장파일을 재사용하는데 사용된다. 압축해제를하면 이렇게 나오는데 실행파일을 실행하면 위와같이임시인터넷 파일이 나온다. 임시 인터넷 파일 분석 - 삭제되어진 파일의 경우 Encase 등으로 복구 -방문한 사이트에 대한 웹 페이지 , 이미지 ,Script 등이 저장되어 있으므로 해당 사이트의 이전에 내용을 확인할수있다. -업데이트 되지않은 웹 페이지 내용 확인가능 -Email ,ID,주민번호 ,수신 메일 내용 등 확인 가능 [포렌식 도구] BrowsingHistoryView(브라우저에 대한 히스토리) 파일 압축을 해제하면 위와같은 구성으로되어있다 실행파일을 실행시켜보자 그러면 위와같은 설정화면이 나오는데 여기서 검색을 할 날짜와 시간 , 웹 브라우저 등을 지정할수있다. OK눌러주자. 내가 사용한 브라우저에 대한 히스토리들과 파일에 접근한 히스토리가 남는데 왜 파일에 대한 히스토리가 남는가? 위와같이 탐색기에 입력을하면 웹브라우저가 실행이되는데 탐색기안에는 웹브라우저가 내장되어있고 그 웹브라우저가 히스토리를 남긴다. 검색할때 사용된 키워드들이 노출되기때문에 이러한 정보를 분석한다. 예전에는 웹에 접속하는 쿼리스트링이 그대로 다 기록이남아 아이디와 패스워드를 확인할수도있었다. [포렌식] 레지스트리 증거 수집 및 분석 HKEY_CLASSER_ROOT : 각 프로그램간의 연결 정보가 들어있다. 예로 내가 mp4 를 더블클릭한다면 윈도우 는 이걸실행시키기위해 특정 미디어 프로그램을 실행시켜서 연결시켜주는데 이로한 맵핑정보가 여기에 들어있다 , 확장자 정보가 들어있다. HKEY_CURRENT_USER : 현재 로그인한 사용자 의 정보가 들어있다. HKEY_LOCAL_MACHINE : 전체 사용자에 대한 정보가 들어있다. ,하드웨어 구성 초기화 파일 ,사용중인 하드웨어 및 소프트웨어에 대한 정보 HKEY_USERS : 이전 사용자에 대한 초기화 파일 보관 HKEY_CURRENT_CONFIG : 디스플레이 , 해상도 ,바탕화면 등의 정보가 들어있다. MRU 가장 최근에 사용된 파일 , 프로그램 등에 대.. EProcess 란 EProcess 란 EPROCESS 란 커널에서 프로세스를 관리하기 위한 오브젝트이다. 프로세스를 관리 할 때 이중 연결 리스트로 관리되어진다 먼저 우리가 운영체제를 이용하는 이유는 작업을 하고자 하는 이유인데 즉 게임이나 문서 ,인터넷 등 모든작업을하는것을 작업이라고 보았을때 이 작업을하기위해서는 응용프로그램을 사용해야만하고 이러한 응용프로그램은 모두 프로세스 이다. 프로그램들을 실행시키고 관리하는 거대한 프로세스가 EProcess 이다. (프로세스 위의 프로세스) - 윈도우의 관점에서 프로세스란 바로 이 구조체를 의미하며, 프로세스를 종료한다는 것은 이 구조체에 대한 포인터 값을 관련 링크드 리스트에서 삭제하는 것을 의미한다. - 이 구조체 에는 시스템이 프로세스를 실행하고 관리하기 .. [포렌식] Windows Artifact 분석 일반 파일 분석 만든시각(Created Time) : 파일이 생성된 시간 수정한시각(Modified Time) : 파일이 수정된 시간 접근시각(Accessed Time) : 파일이 읽혀진 시간 이있는데 실제 어떻게 보이는지 확인해보자. 일반 텍스트파일-마우스우클릭-속성 위와같이 일반파일의 속성을 들어가면 만든날짜 , 수성한 날짜 , 액세스한 날짜 가 보인다. 이제 이 3가지 시간에대해서 약자로 C / M / A 로 부르도록하자. 그렇다면 C 인 만든날짜는 위의 파일을 만들었을때를 기록하는 부분일것이고 M은 수정한날짜 이니 만들고난 후 내용을 바꾸기위해 들어간다면 이 날짜는 게속변화를 할것이다. A는 액세스 즉 접근을 하는것을 말하는데 이 경우 파일을 열어보기만해도 변화를할것이다. 여.. 이전 1 2 3 다음